Une faille de Contact Form 7 Style affecte 50 000 sites internet

0

Un bug de sécurité dans Contact Form 7 Style, un plugin WordPress installé sur plus de 50 000 sites, pourrait permettre une injection de JavaScript malveillant sur un site Web vulnérable.

La dernière vulnérabilité du plugin de WordPress est une falsification de requête inter-site (CSRF) associé à une faille XSS dans Contact Form 7 Style, qui est un add-on du plugin Contact Form 7. Il a une note de 8,8 sur 10 sur l’échelle de gravité CVSS (CVE en attente).

CSRF permet à un attaquant de pousser un utilisateur à effectuer des actions qu’il n’a pas l’intention de faire. XSS permet à un attaquant d’exécuter du JavaScript arbitraire dans le navigateur d’un utilisateur. Cette vulnérabilité relie les deux approches.

Les chercheurs de Wordfence ont déclaré qu’aucun correctif n’était encore disponible et que les versions 3.1.9 et inférieures étaient affectées. WordPress a supprimé le plugin du référentiel de plugins WordPress le 1er février.

Contact Form 7 Style

Contact Form 7 permet de créer, comme son nom l’indique, les formulaires de contact utilisés par les sites Web. Le vulnérable Contact Form 7 Style est un module complémentaire qui peut être utilisé pour ajouter fonctionnalités aux formulaires créés avec Contact Form 7.

Pour ce faire, il permet aux utilisateurs de personnaliser le code des feuilles de style en cascade (CSS) d’un site WordPress. C’est là que réside la vulnérabilité, selon les chercheurs de Wordfence.

«En raison du manque de désinfection et du manque de protection de nonce sur cette fonctionnalité, un attaquant pourrait créer une requête d’injection de JavaScript malveillant sur un site à l’aide du plugin», ont-ils expliqué, dans une publication, ajoutant que d’autres détails ne seront pas divulgués. pour donner aux propriétaires de sites une chance de résoudre le problème. « Si un hacker réussissait à inciter l’administrateur d’un site à cliquer sur un lien ou une pièce jointe, la demande pourrait être envoyée et les paramètres CSS seraient mis à jour avec succès pour inclure du JavaScript malveillant. »

Étant donné que le nombre d’installation pour le plugin est si élevé et en raison du nombre de sites affectés par la fermeture de ce plugin, nous fournissons intentionnellement un minimum de détails sur cette vulnérabilité afin de donner aux utilisateurs suffisamment de temps pour trouver une solution alternative.

wordpress

Pour exploiter la faille, les pirates informatiques devront convaincre un administrateur connecté de cliquer sur un lien malveillant, ce qui peut être fait via l’une des approches courantes d’ingénierie sociale (c’est-à-dire via un e-mail ou un message instantané frauduleux).

Wordfence a informé le développeur du plugin de la faille au début du mois de Décembre; après n’avoir reçu aucune réponse, les chercheurs ont ensuite transmis le problème à l’équipe de WordPress Plugins début janvier. L’équipe de WordPress Plugins a également contacté le développeur sans réponse, ce qui a conduit à la divulgation cette semaine.

contact form 7

Comment se protéger contre l’injection de Javascript malveillante?

Parce que, comme pour toutes les vulnérabilités CSRF, la faille ne peut être exploitée que si un utilisateur de niveau administrateur effectue une action alors qu’il est authentifié sur le site WordPress vulnérable, les administrateurs doivent toujours se méfier lorsqu’ils cliquent sur des liens.

« Si vous pensez que vous devez cliquer sur un lien, nous vous recommandons d’utiliser des fenêtres de navigation privée lorsque vous n’êtes pas sûr d’un lien ou d’une pièce jointe », selon Wordfence. « Cette précaution peut empêcher que votre site soit exploité avec succès par cette vulnérabilité ainsi que toutes les autres vulnérabilités CSRF. »

Dans ce cas, les utilisateurs doivent également désactiver et supprimer le plugin Contact Form 7 Style et trouver un remplacement, ont ajouté les chercheurs, car aucun correctif ne semble être prévu.

Laisser un commentaire